Was ist XDR?

Wie funktioniert XDR?

Mithilfe eines lokalen Agents, der unter anderem effektiv als SIEM-Lösung (Security Information and Event Management) dient, erfasst XDR Telemetriedaten aus mehreren Quellen, die ansonsten voneinander isoliert wären. XDR erkennt Malware und komplexe Bedrohungen und setzt dann eine Reihe von Maßnahmen ein, um sie mit Unterstützung von maschinellem Lernen (ML) und Automatisierung zu priorisieren, einzudämmen und zu beseitigen.

Um dies zu erreichen, führt XDR kontinuierlich drei Kernfunktionen aus:

1. Analyse

Die Lösung erfasst Daten von Servern, Endgeräten, Cloud-Umgebungen und anderen Bereichen des Ökosystems, korreliert diese Daten und sendet nur relevante, wichtige Warnmeldungen an die Sicherheitsverantwortlichen des Unternehmens, wodurch die Alarmmüdigkeit minimiert wird.

2. Erkennung

XDR macht sich die Vorteile von ML zunutze, um eine Baseline für das normale Verhalten von User- und Entitäten zu erstellen. In Kombination mit anderen Erkennungsmechanismen kann die XDR-Lösung dadurch Anomalien untersuchen, die auf potenzielle Sicherheitsbedrohungen hinweisen könnten.

3. Vorfallreaktion

XDR isoliert und eliminiert Bedrohungen und aktualisiert dann die Sicherheitsrichtlinien, um die jeweilige Bedrohung in Zukunft zu blockieren. Es geht insofern über EDR hinaus, als die Ressourcen des Security Operations Center (SOC) für sämtliche Netzwerke, Endgeräte und Cloud-Umgebungen in einer einzigen Konsole konsolidiert werden.

Vorteile der XDR-Sicherheit

XDR vereinheitlicht die Erkennungs- und Reaktionsfunktionen für die gesamte Datenumgebung und geht damit über herkömmliche Sicherheitsprodukte und Einzellösungen hinaus. Sie profitieren von einem breiteren Schutz und detaillierten Informationen zu Sicherheitsvorfällen. Vorteile einer effektiven XDR-Plattform:

• Umfassende, tiefe Transparenz und Einblicke: Mit einer Perspektive, die über das Endgerät hinausgeht, kann eine XDR-Lösung komplexe Bedrohungen – einschließlich Eintrittspunkt, betroffene Assets und Umgebungen sowie Methoden – auf allen Ports, Protokollen und Ebenen Ihres Ökosystems erkennen und analysieren. Dadurch wird Ihre Fähigkeit zur Behebung und Ursachenanalyse optimiert.
• Automatische Korrelation und Sichtung: Die ML-gesteuerte Automatisierung korreliert Daten und priorisiert Warnungen. Dadurch werden die Workflows Ihres Sicherheitsteams zur Bekämpfung von Bedrohungen optimiert, indem Fehlalarme vermieden und echte Bedrohungen in Datenmengen aufgedeckt werden, die sich mit manuellen Sicherheitslösungen niemals analysieren ließen.
• Schnellere, effizientere Abläufe: Mit einer ganzheitlichen, zentralen Sicht auf Bedrohungen, weniger Aufwand für die Verwaltung und Überwachung von Sicherheitstools sowie automatisierter Analyse reduziert XDR die betriebliche Komplexität und lässt Ihren Experten mehr Zeit für die proaktive Bedrohungssuche und andere wertschöpfende Aufgaben.

Anwendungsfälle für XDR

XDR unterstützt drei primäre Anwendungsfälle:

Triage

Angesichts der enormen Menge an Bedrohungen, mit denen Unternehmen heute zu kämpfen haben, sind selbst erfahrene Sicherheitsexperten mit der Aufgabe überfordert, Warnmeldungen zu bewältigen, geschweige denn schnell und präzise Fehlalarme auszusortieren, die kritischsten Bedrohungen zu priorisieren und darauf reagieren. XDR verwendet ML und erweiterte Analysen, um Bedrohungsdaten aus dem gesamten Ökosystem in eine überschaubare Anzahl zuverlässiger Warnmeldungen zu präzisieren.

Bedrohungssuche

Die heutigen hochentwickelten Bedrohungen lassen sich extrem gut verstecken und machen dadurch die Bedrohungssuche wichtiger und zugleich schwieriger als je zuvor. Da XDR neben ML-gestützter Erkennung und Korrelation Einblick in Ihr gesamtes Ökosystem bietet, kann es Bedrohungen lokalisieren, die mit herkömmlichen SIEM-Lösungen allein nicht erkannt werden.

Untersuchung

XDR-Lösungen stellen umfassende Kontextdaten zur Unterstützung der Ursachenanalyse bereit, einschließlich Echtzeit- und Verlaufsdaten. So erhalten Ihre Sicherheitsexperten die erforderlichen Informationen, um zu verstehen, was bei einem Angriff passiert ist und mit welchen Maßnahmen ähnliche Angriffe in Zukunft abgewehrt werden können.

XDR im Vergleich zu anderen Erkennungs- und Reaktionstechnologien

Mit Technologien zur Erkennung von und automatischen Reaktion auf Bedrohungen können Unternehmen ihre Systeme kontinuierlich überwachen, um Bedrohungen im Netzwerk- und Anwendungstraffic zu erkennen, zu untersuchen und einzudämmen, sobald sie auftreten. Mithilfe von maschinellem Lernen und Automatisierungstechnologien kann XDR diese Bedrohungen in Echtzeit priorisieren, eindämmen und entfernen.

Zu den weiteren Erkennungs- und Reaktionstechnologien gehören:

Endpoint Detection and Response (EDR) kann Malware und fortgeschrittene Bedrohungen auf Endpunkten und in Workloads erkennen, priorisieren und darauf reagieren, verfügt aber nicht über die nötige Transparenz im restlichen Ökosystem.

Network Detection and Response (NDR) legt den Schwerpunkt auf die Bekämpfung von Angriffen, die sich im Netzwerktraffic verstecken und versuchen, Netzwerk-Firewalls zu umgehen.

Managed Detection and Response (MDR) basiert auf den Diensten eines Teams externer Sicherheitsanalysten und nicht auf Ihrem eigenen Personal.

NDR und EDR erschlossen eins neuartige Möglichkeiten im Bereich der Netzwerk- und Endgerätesicherheit. Die heutigen komplexen, vielschichtigen Datenökosysteme erfordern jedoch eine besser koordinierte Transparenz und Analyse sowie eine höhere Präzision und Geschwindigkeit, um dem Volumen und den raffinierten Techniken heutiger Cyberangriffe Paroli zu bieten.

Voraussetzungen für XDR

Wie bei jeder relativ neuen Technologie gibt es gegensätzliche Auffassungen hinsichtlich der genauen Definition von Extended Detection and Response. Was genau macht XDR aus? XDR umfasst folgende Kernbereiche:

• SaaS-basiert: XDR wird grundsätzlich als Cloud-Dienst bereitgestellt. Dies gewährleistet eine hohe Rentabilität im Hinblick auf die Hosting- und Wartungskosten, steigert aber auch die Effektivität, da Updates sofort an alle Kunden geliefert werden können.
• Agentbasiert: XDR ist zwar cloudbasiert, erfordert aber dennoch einen auf Ihren physischen und virtuellen Endgeräten installierten Agent, um ähnlich wie ein SIEM Daten zu erfassen. Viele Agents führen auch Antiviren- und andere Funktionen zum Schutz von Endgeräten aus, die die SaaS-Funktionalität ergänzen.
• Einheitlich: Das ist die Essenz von XDR. Durch Erfassen von Telemetriedaten aus beliebigen Datenquellen und deren Nutzung zur Unterstützung von Verhaltensanalysen und fortschrittlichen Erkennungstechniken bietet XDR einen Schutz vor Ransomware und anderer hochentwickelter Malware, der weit über das hinausgeht, was disparate Einzelprodukte leisten können.

Wie unterstützt XDR Zero Trust?

Wenn Ihr Unternehmen Zero Trust implementieren oder Ihre bestehende Zero Trust-Architektur optimieren möchte, sollten Sie XDR zu Ihrem cloudbasierten Sicherheits-Stack hinzufügen, um alle Vorteile zu nutzen:

• Optimierte Cloud-Sicherheit: Die Bereitstellung von Zero Trust in einer Multicloud-Umgebung kann einige Herausforderungen mit sich bringen. XDR optimiert einen Großteil des Prozesses, indem Cloud-Workloads umgebungsübergreifend konsolidiert und eine umfassende Überwachung unterstützt wird.
• Bessere Transparenz: XDR führt Echtzeitanalysen und zentralisierte Sicherheitsanalysen in Ihrer gesamten Umgebung durch und erleichtert Ihrem Unternehmen so die Bereitstellung und Durchsetzung von Zero-Trust-Sicherheitskontrollen.
• Automatisierung: XDR automatisiert wichtige Aufgaben in den Bereichen Bedrohungserkennung, Triage, Suche und Reaktion und entlastet dadurch Ihre Sicherheitsverantwortlichen. KI- und ML-basierte Analysen des User- und Netzwerkverhaltens tragen zu schnellerer und effizienterer Sicherheit bei.
• Priorisierung: Zero Trust geht von der Annahme aus, dass jede Ressource oder Entität eine potenzielle Bedrohung darstellen könnte, bis das Gegenteil bewiesen ist. XDR unterstützt diesen Ansatz: Durch die Verwendung automatisierter Korrelation und ML-gestützter Analysen wird vermieden, dass Sicherheitsteams mit Warnmeldungen überlastet werden. Außerdem trägt es zur Optimierung von Arbeitsabläufen und zur Verkürzung von Reaktionszeiten bei.

Wie sorgt Zscaler für Abhilfe?

Die Zscaler-Lösung kann mit branchenführende Partnern integriert werden, um die Cloud-native Zscaler Zero Trust Exchange™ mit den Vorteilen von XDR zu kombinieren. Im Rahmen unserer Partnerschaften im Bereich XDR nutzen wir Integrationen und fortschrittliche KI/ML-Funktionen, um zuverlässige Bedrohungsdaten und aussagekräftigen Kontext bereitzustellen. So gewährleisten wir eine schnellere und effizientere Erkennung und Abwehr von Bedrohungen auf allen Plattformen sowie lückenlose Transparenz.

Erfahren Sie mehr über die Kooperation zwischen Zscaler und CrowdStrike Falcon XDR.

Erfahren Sie mehr über die Kooperation zwischen Zscaler und SentinelOne Singularity XDR.

Zscaler Zero Trust Exchange

Die Zscaler Zero Trust Exchange™ ist eine Cloud-native Plattform auf der Basis des Zero-Trust-Modells. Nach dem Prinzip der minimalen Rechtevergabe werden Zugriffsberechtigungen basierend auf der Identität des Users sowie unter Berücksichtigung von Kontextdaten (Standort des Users, Security Posture des Geräts, ausgetauschte Inhalte und angeforderte Anwendung) gewährt. Wird eine Anfrage als vertrauenswürdig eingestuft, wird der betreffende User standortunabhängig zügig und zuverlässig mit der jeweils angeforderten Anwendung verbunden, ohne jemals direkten Zugang zum Netzwerk zu erhalten. Die Zero Trust Exchange wird in 150 Rechenzentren weltweit bereitgestellt. Dadurch lässt sich die Verfügbarkeit in der Nähe der User sowie in Colocation mit häufig genutzten Cloud-Anbietern und Anwendungen gewährleisten.